Baum Novice
14. marts 2018 - 12:16 Der er 8 kommentarer og
2 løsninger

Åbning af port

Hej alle i kloge mennesker, jeg har brug for hjælp til et lille spørgsmål og jeg håber der er en der kan være behjælpelig med det.

På arbejde, der en kunde der beder om at få åbnet op for udadgående trafik på en UDP port 55556.
Han skriver at det kun er nødvendig for udafgående trafik da enheden kommunikerer via Socket Connection. Dvs. at enheden selv kalder ud og derefter åbner en forbindelse.

Mit spørgsmål går på om det godt kan lade sig gøre at man kun åbner op udadgående trafik, at han så stadig kan kommunikerer indad.
I min verden er det et nej så længe indadgående trafik er blokeret.

Nogen der kan hjælpe mig lidt her?
ole_madsen Ekspert
14. marts 2018 - 12:30 #1
Afhængig af din routerløsning, er det helt korrekt.

De fleste "lavpris" routere har faktisk åben for alt undtagen højrisikoporte udadgående. Highend løsninger er som regel både/og.
puren Professor
14. marts 2018 - 12:32 #2
normale router tillader alt trafik der kommer LAN siden ud til WAN siden (internettet)

åbning af port er normalt at man tillader trafik fra WAN siden ind til LAN siden og hvorden så peger på den rigtige enhed(server, printer, etc.)

så bliver nok nød til at have noget mere info om hvad det er fornoget gear vi snakker om.
Baum Novice
14. marts 2018 - 12:47 #3
Det er Cisco WS-C2960X-24PS-L der står på lokationen, og det er et ventilationsanlæg der skal kommunikeres med.

Men som det er nu er der lukket for port 55556 i begge retninger, men spørgsmål går mere på om det kan lade sig at kun at åbne for udadgående trafik og så enheden kan åbne en "to-vejs" kommunikation selvom der ikke er åbnet for indadgående trafik.
ole_madsen Ekspert
14. marts 2018 - 12:54 #4
Det kommer også an på den datastrøm der kører.

Hvis ventilationsanlægget starter kommunikationen udadgaående, vil der ikke være noget problem, så længe sessionen er i live. Men droppes sessionen, kan "WAN" dimsen ikke længere snakke med ventilationsanlægget, før dette igen henvender sig.
Baum Novice
14. marts 2018 - 13:00 #5
Det er ventilationsanlæget der starter kommunikationen, men hvordan kan den få lov til at tillade indadgående trafik, når det oprindeligt er lukket i firewall'en?

Og hvordan vil du som bruger beder om information fra anlægget? Skal man så vide at præcis kl. 11 der sender den sin information og så du sidde klar, så du også kan kommunikerer den anden vej??
ole_madsen Ekspert
14. marts 2018 - 13:24 #6
Indgående traffik tillades, fordi den er båret i en eksisterende session/datastrøm.

Den anden vej, vil ventilationsanlægget nok snakke med en server, hvor der netop er åben for porten. Dermed vil serveren altid være i stand til at lytte og besvare ventilationsanlægget.

Opfat ventilationsanlægget som en telefonsælger der ringer til dig. I det øjeblik sælgeren lægger røret på, har du ingen mulighed for at ringe retur. Men sælger kender dit nummer, og kan derfor til enhver tid nå din IP og port (telefonnummer).

Måske ikke verdens bedste eksempel - men i grove træk sådan det hænger sammen.

Altså... - der skal ikke være åben for den indadgående trafik, fordi det er ventilationsanlægget der ringer op indefra, og dermed kører kommunikationen på en eksisterende "telefonlinje".
Baum Novice
14. marts 2018 - 13:33 #7
Super svar.
Tak for hjælpen :)
rogerrabbit Seniormester
14. marts 2018 - 13:43 #8
Det overvågnings SW jeg kender lidt til, sender kun.
Det er en envejs kommunikation.
Og ja, det kører på secure socket.

Enheden sender events og ID når der er nogen.
Nogle sender heart beats, og configuration, scheduleret. Og modtager man ikke et HB i den anden ende, på det forventede tidspunkt, kontakter man kunden.
Baum Novice
14. marts 2018 - 13:51 #9
Håber du læser dette Ole? Har nemlig et lille spørgsmål mere.

Hvis datastrømmen skal være aktiv for at kommunikerer indad, hvordan vil du som teknisk personale, så tilgå ventilationsanlægget når du ikke er på adressen.
Anlægget kan jo ikke vide hvornår du vil snakke med det? Eller forbliver datastrømmen åbnet, så snart der har  været forbindelse én gang?

Ex. Du sidder som teknker og vil tilgå noget information hjemmefra, kl. 21.00. Du tænder din pc, logger på serveren via en hjemmeside. Hvordan skal enheden vide at du gerne vil snakke med den, når der kun er tilladt trafik den anden vej? Eller sender man et "bip" fx ligesom WakeOnLAN?
ole_madsen Ekspert
14. marts 2018 - 14:16 #10
Det er jo et rigtig godt spørgsmål, som jeg ikke kan svare på :-) - jeg kender nemlig ikke udstyret - det gør kun dem der har sat det op.

Men hvis nogen påstår det kan lade sig gøre, kan det kun være ved at ventilationsanlægget kontinuerligt holder forbindelsen aktiv. Mistes forbindelsen (internettet går ned) vil ventilationsanlægget af sig selv genoprette forbindelsen.

Dermed vil teknikeren altid kunne logge på serveren og få forbindelse til ventilationsanlægget.

Man vil ikke kunne nå ind til ventilationsanlægget, uden at dette holder en aktiv forbindelse. I så fald skulle der nemlig åbnes en port, og en portforward sættes op til ventilationsanlægget.
Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links

Opret Preview

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester





Premium
C2IT opkøber dansk it-konsulenthus: Tidligere Sentia-boss med ledende roller i begge selskaber har forhandlet prisen
Interview: Michael Meister er del af ledelsen i både C2IT og Softhuset, som lægges sammen. Den tidligere Sentia-direktør har forhandlet prisen og varetaget Softhusets interesser i forhandlingerne, men fortsætter i C2IT efter handlen.
Computerworld
Her er de tre nye iPhones: Apple har netop præsenteret to frække topmodeller samt en helt ny "folketelefon"
Apple har netop løftet sløret for tre nye iPhones. Den ene af dem er måske det tætteste Apple kommer på en folketelefon
CIO
Machine learning og kunstig intelligens med Jesper Steen Møller "Der er rigtigt meget teknik som for nogen ser nærmest magisk ud"
Tech fra Toppen: Hvornår det giver mening at bruge machine learning - og hvordan du kommer bedst muligt i gang? Få svaret i den seneste udgave af Computerworlds podcast "Tech fra toppen" med datalog Jesper Steen Møller.
Job & Karriere
Her er syv job-annoncer der overrasker med helt usædvanlige overskrifter
Der er mange ledige it-job i øjeblikket. It-jobbank har her fundet syv spændende stillinger, der har det til fælles, at annoncen har en utraditionel overskrift.
White paper
Undersøgelse: En mistet pc koster i gennemsnit virksomheder mellem 200.000 og 300.000 kr.
Datasikkerhed handler ikke blot om hackere, som forvolder stor skade fra deres skjulesteder rundt omkring i verden. Det handler i lige så høj grad om sløseri eller kriminalitet fra organisationens egne medarbejdere. Det lyder umiddelbart tilforladeligt, men når en medarbejder mister sin pc eller smartphone, er konsekvenserne til at tage og føle på. En mistet pc koster mellem 200.000 og 300.000, og der stjæles ca. 36.000 pc’er om året i Danmark. I dette whitepaper kan du læse om hvordan du sikrer dig imod at dette sker i din virksomhed.